I dispositivi di migliaia di utenti italiani sono stati infettati, per errore, da un spyware utilizzato per le intercettazioni di Stato e diffuso tra una ventina di applicazioni inserite sul Play Store di Google.
A scoprirlo è stata la Security Without Borders, una società no profit: Exodus – nome dato allo spyware – è stato pensato per intercettare le attività dei criminali (e quindi per registrare le telefonate, copiare la rubrica, rilevare la posizione gps e leggere le conversazioni Facebook o WhatsApp), ma per un errore di programmazione, questo software ha intercettato chiunque avesse scaricato una di quelle app Android in cui lo spyware è stato nascosto. Nella maggior parte dei casi, queste applicazioni erano (Google ha già provveduto alla rimozione delle app infette) strumenti che consentivano di migliorare le prestazioni dello smartphone o ricevere offerte esclusive.
Un software pensato per intercettare i cellulari degli indagati e dei criminali, ma che, ahimè, è andato ben oltre, spiando le attività di oltre un migliaio di utenti italiani.
A spiegare come funzionano le intercettazioni di Stato è Gerardo Costabile, co-founder dell’International Information Systems Forensics Association, ceo di DeepCyber, ed un passato nella Guardia di Finanza e in Poste Italiane:
“Dopo l’autorizzazione del giudice, l’intercettato viene indotto a scaricare lo spyware.” Per fare ciò, si ricorre a tecniche di ingegneria sociale o altri piccoli trucchi. Un esempio? L’operatore telefonico (il quale è sempre tenuto a collaborare con le forze dell’ordine) invia un SMS all’indagato invitandolo a scaricare l’app che contiene lo spyware, magari promettendogli uno sconto esclusivo. “Il problema è che queste applicazioni che contenevano lo spyware erano scaricabili da chiunque, di conseguenza potevano intercettare chiunque; non funzionava infatti il filtro per limitare l’intercettazione solo ai cellulari degli indagati (identificabili dal software tramite il codice IMEI del dispositivo)”, continua Costabile.
Una volta installata l’applicazione, Exodus ha permesso all’hacker di Stato di controllare a distanza il dispositivo dell’utente e arrivare in questo modo a spiarne le conversazioni, sia telefoniche che online, l’attività sul web, l’elenco telefonico, la rubrica, le foto scattate e la posizione fisica. E ancora, ha permesso all’hacker di attivare il microfono dello smartphone e quindi ascoltare le conversazioni dell’utente, nonché scattare foto da remoto e vedere i volti delle persone vicine al dispositivo.
Google ha già rimosso dal Play Store le app infette.